Desenvolvedor de cURL encerrou pagamentos por vulnerabilidades por causa de spam de IA

O desenvolvedor do utilitário cURL amplamente conhecido, usado em praticamente todas as distribuições Linux, bem como em macOS e Windows, anunciou o término do programa Bug Bounty que estava em vigor desde 2019. A razão é simples e reveladora: o time de desenvolvimento simplesmente não conseguiu lidar com a enxurrada de relatórios de bugs inúteis gerados por inteligência artificial e enviados por caçadores de recompensa.

Um programa Bug Bounty, ou programa de recompensa por erros encontrados, é uma prática comum no mundo do desenvolvimento de software de código aberto. Ele permite atrair pesquisadores de segurança terceirizados para buscar vulnerabilidades no código, pelos quais recebem recompensas monetárias. Isso é benéfico tanto para os desenvolvedores, que ganham a oportunidade de melhorar a segurança de seu produto, quanto para os pesquisadores, que podem ganhar dinheiro usando sua experiência.

Portanto, no caso do cURL, a situação saiu do controle. Com o avanço das tecnologias de inteligência artificial, tornou-se possível automatizar o processo de busca por vulnerabilidades. Participantes desonestos do programa Bug Bounty começaram a usar IA para gerar um enorme número de relatórios de bugs, a maioria dos quais se mostrou falsa ou menor. Verificar esses relatórios consumiu uma quantidade enorme de tempo e recursos do time de desenvolvimento do cURL, tornando o programa Bug Bounty não lucrativo.

Este caso levanta questões importantes sobre o futuro dos programas Bug Bounty na era da inteligência artificial. Por um lado, a IA pode ser uma ferramenta útil para automatizar a busca por vulnerabilidades e melhorar a eficiência do trabalho dos pesquisadores de segurança. Por outro lado, também pode ser usada para abuso, como aconteceu no caso do cURL. Os desenvolvedores precisam adaptar seus programas Bug Bounty às novas realidades para prevenir situações semelhantes no futuro. Pode ser necessário implementar critérios mais rigorosos para selecionar relatórios de bugs, bem como o uso de ferramentas de IA proprietárias para filtrar falsos positivos.

O encerramento do programa Bug Bounty do cURL pode ter consequências negativas para a segurança deste utilitário. A redução no número de pesquisadores de segurança independentes trabalhando para encontrar vulnerabilidades poderia resultar em alguns erros sérios passando despercebidos. Por fim, isso pode aumentar o risco de ataques em sistemas que usam cURL.

Este incidente demonstra que o desenvolvimento de IA cria novos desafios para a indústria de segurança da informação. Os desenvolvedores precisam estar preparados para esses desafios e adaptar seus métodos de trabalho para usar efetivamente as capacidades da IA e se proteger contra suas ameaças potenciais. Caso contrário, podemos enfrentar uma situação em que a IA, em vez de melhorar a segurança, contribui para seu declínio.